搜尋整站
搜尋本頁
【法規名稱】 。♬簡讀版


資通安全責任等級分級辦法

【發布日期】110.08.23【發布機關】行政院

【法規沿革】
1‧中華民國一百零七年十一月二十一日行政院院臺護字第1070213547號令訂定發布全文12條;施行日期,由主管機關定之
 中華民國一百零七年十二月五日行政院院臺護字第1070217128號令發布定自一百零八年一月一日施行
2‧中華民國一百零八年八月二十六日行政院院臺護字第1080184606號令修正發布第4581112條條文;並自發布日施行
3‧中華民國一百十年八月二十三日行政院院臺護字第1100182012號令修正發布第57條條文及第11條條文之附表一~八、附表十

【法規內容】

第1條


﹝1﹞本辦法依資通安全管理法(以下簡稱本法)第七條第一項規定訂定之。

第2條


﹝1﹞公務機關及特定非公務機關(以下簡稱各機關)之資通安全責任等級,由高至低,分為A級、B級、C級、D級及E級。

第3條


﹝1﹞主管機關應每二年核定自身資通安全責任等級。
﹝2﹞行政院直屬機關應每二年提交自身、所屬或監督之公務機關及所管之特定非公務機關之資通安全責任等級,報主管機關核定。
﹝3﹞直轄市、縣(市)政府應每二年提交自身、所屬或監督之公務機關,與所轄鄉(鎮、市)、直轄市山地原住民區公所及其所屬或監督之公務機關之資通安全責任等級,報主管機關核定。
﹝4﹞直轄市及縣(市)議會、鄉(鎮、市)民代表會及直轄市山地原住民區民代表會應每二年提交自身資通安全責任等級,由其所在區域之直轄市、縣(市)政府彙送主管機關核定。
﹝5﹞總統府、國家安全會議、立法院、司法院、考試院及監察院應每二年核定自身、所屬或監督之公務機關及所管之特定非公務機關之資通安全責任等級,送主管機關備查。
﹝6﹞各機關因組織或業務調整,致須變更原資通安全責任等級時,應即依前五項規定程序辦理等級變更;有新設機關時,亦同。
﹝7﹞第一項至第五項公務機關辦理資通安全責任等級之提交或核定,就公務機關或特定非公務機關內之單位,認有另列與該機關不同等級之必要者,得考量其業務性質,依第四條至第十條規定認定之。

第4條


﹝1﹞各機關有下列情形之一者,其資通安全責任等級為 A級:
  一、業務涉及國家機密。
  二、業務涉及外交、國防或國土安全事項。
  三、業務涉及全國性民眾服務或跨公務機關共用性資通系統之維運。
  四、業務涉及全國性民眾或公務員個人資料檔案之持有。
  五、屬公務機關,且業務涉及全國性之關鍵基礎設施事項。
  六、屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生災難性或非常嚴重之影響。
  七、屬公立醫學中心。

   --108年8月26日修正前條文--


﹝1﹞各機關有下列情形之一者,其資通安全責任等級為A級:
  一、業務涉及國家機密。
  二、業務涉及外交、國防或國土安全事項。
  三、業務涉及全國性民眾服務或跨公務機關共用性資通系統之維運。
  四、業務涉及全國性民眾或公務員個人資料檔案之持有。
  五、屬公務機關,且業務涉及全國性之能源、水資源、通訊傳播、交通、銀行與金融、緊急救援事項。
  六、屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生災難性或非常嚴重之影響。
  七、屬公立醫學中心。

第5條


﹝1﹞各機關有下列情形之一者,其資通安全責任等級為B級:
  一、業務涉及公務機關捐助、資助或研發之國家核心科技資訊之安全維護及管理。
  二、業務涉及區域性、地區性民眾服務或跨公務機關共用性資通系統之維運。
  三、業務涉及區域性或地區性民眾個人資料檔案之持有。
  四、業務涉及中央二級機關及所屬各級機關(構)共用性資通系統之維運。
  五、屬公務機關,且業務涉及區域性或地區性之關鍵基礎設施事項。
  六、屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生嚴重影響。
  七、屬公立區域醫院或地區醫院。

   --110年8月23日修正前條文--


﹝1﹞各機關有下列情形之一者,其資通安全責任等級為 B級:
  一、業務涉及公務機關捐助、資助或研發之敏感科學技術資訊之安全維護及管理。
  二、業務涉及區域性、地區性民眾服務或跨公務機關共用性資通系統之維運。
  三、業務涉及區域性或地區性民眾個人資料檔案之持有。
  四、業務涉及中央二級機關及所屬各級機關(構)共用性資通系統之維運。
  五、屬公務機關,且業務涉及區域性或地區性之關鍵基礎設施事項。
  六、屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生嚴重影響。
  七、屬公立區域醫院或地區醫院。

   --108年8月26日修正前條文--


﹝1﹞各機關有下列情形之一者,其資通安全責任等級為B級:
  一、業務涉及公務機關捐助或研發之敏感科學技術資訊之安全維護及管理。
  二、業務涉及區域性、地區性民眾服務或跨公務機關共用性資通系統之維運。
  三、業務涉及區域性或地區性民眾個人資料檔案之持有。
  四、屬公務機關,且業務涉及區域性或地區性之能源、水資源、通訊傳播、交通、銀行與金融、緊急救援事項。
  五、屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生嚴重影響。
  六、屬公立區域醫院或地區醫院。

第6條


﹝1﹞各機關維運自行或委外設置、開發之資通系統者,其資通安全責任等級為C級。
﹝2﹞前項所定自行或委外設置之資通系統,指具權限區分及管理功能之資通系統。

   --110年8月23日修正前條文--


﹝1﹞各機關維運自行或委外開發之資通系統者,其資通安全責任等級為C級。

第7條


﹝1﹞各機關自行辦理資通業務,未維運自行或委外設置、開發之資通系統者,其資通安全責任等級為D級。

   --110年8月23日修正前條文--


﹝1﹞各機關自行辦理資通業務,未維運自行或委外開發之資通系統者,其資通安全責任等級為D級。

第8條


﹝1﹞各機關有下列情形之一者,其資通安全責任等級為 E級:
  一、無資通系統且未提供資通服務。
  二、屬公務機關,且其全部資通業務由其上級機關、監督機關或上開機關指定之公務機關兼辦或代管。
  三、屬特定非公務機關,且其全部資通業務由其中央目的事業主管機關、中央目的事業主管機關所屬公務機關、中央目的事業主管機關所管特定非公務機關或出資之公務機關兼辦或代管。

   --108年8月26日修正前條文--


﹝1﹞各機關有下列情形之一者,其資通安全責任等級為E級:
  一、無資通系統且未提供資通服務。
  二、屬公務機關,且其全部資通業務由其上級或監督機關兼辦或代管。
  三、屬特定非公務機關,且其全部資通業務由其中央目的事業主管機關、中央目的事業主管機關所屬公務機關,或中央目的事業主管機關所管特定非公務機關兼辦或代管。

第9條


﹝1﹞各機關依第四條至前條規定,符合二個以上之資通安全責任等級者,其資通安全責任等級列為其符合之最高等級。

第10條


﹝1﹞各機關之資通安全責任等級依前六條規定認定之。但第三條第一項至第五項之公務機關提交或核定資通安全責任等級時,得考量下列事項對國家安全、社會公共利益、人民生命、身體、財產安全或公務機關聲譽之影響程度,調整各機關之等級:
  一、業務涉及外交、國防、國土安全、全國性、區域性或地區性之能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院業務者,其中斷或受妨礙。
  二、業務涉及個人資料、公務機密或其他依法規或契約應秘密之資訊者,其資料、公務機密或其他資訊之數量與性質,及遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害。
  三、各機關依層級之不同,其功能受影響、失效或中斷。
  四、其他與資通系統之提供、維運、規模或性質相關之具體事項。

第11條


﹝1﹞各機關應依其資通安全責任等級,辦理附表一至附表八之事項。
﹝2﹞各機關自行或委外開發之資通系統應依附表九所定資通系統防護需求分級原則完成資通系統分級,並依附表十所定資通系統防護基準執行控制措施;特定非公務機關之中央目的事業主管機關就特定類型資通系統之防護基準認有另為規定之必要者,得自行擬訂防護基準,報請主管機關核定後,依其規定辦理。
﹝3﹞各機關辦理附表一至附表八所定事項或執行附表十所定控制措施,因技術限制、個別資通系統之設計、結構或性質等因素,就特定事項或控制措施之辦理或執行顯有困難者,得經第三條第二項至第四項所定其等級提交機關或同條第五項所定其等級核定機關同意,並報請主管機關備查後,免執行該事項或控制措施;其為主管機關者,經其同意後,免予執行。
﹝4﹞公務機關之資通安全責任等級為 A級或 B級者,應依主管機關指定之方式,提報第一項及第二項事項之辦理情形。
﹝5﹞中央目的事業主管機關得要求所管特定非公務機關,依其指定之方式提報第一項及第二項事項之辦理情形。

   --108年8月26日修正前條文--


﹝1﹞各機關應依其資通安全責任等級,辦理附表一至附表八之事項。
﹝2﹞各機關自行或委外開發之資通系統應依附表九所定資通系統防護需求分級原則完成資通系統分級,並依附表十所定資通系統防護基準執行控制措施;關鍵基礎設施提供者之中央目的事業主管機關就特定類型資通系統之防護基準認有另為規定之必要者,得自行擬訂防護基準,報請主管機關核定後,依其規定辦理。
﹝3﹞各機關辦理附表一至附表八所定事項或執行附表十所定控制措施,因技術限制、個別資通系統之設計、結構或性質等因素,就特定事項或控制措施之辦理或執行顯有困難者,得經第三條第二項至第四項所定其等級提交機關或同條第五項所定其等級核定機關同意,並報請主管機關備查後,免執行該事項或控制措施。
﹝4﹞公務機關之資通安全責任等級為A級或B級者,應依主管機關指定之方式,提報第一項及第二項事項之辦理情形。
﹝5﹞中央目的事業主管機關得要求所管特定非公務機關,依其指定之方式提報第一項及第二項事項之辦理情形。

第12條


﹝1﹞本辦法之施行日期,由主管機關定之。
﹝2﹞本辦法修正條文自發布日施行。

   --108年8月26日修正前條文--


﹝1﹞本辦法之施行日期,由主管機關定之。



回頁首〉〉
【編註】本檔提供學習與參考為原則;如需正式引用請以官方公告版為準。
如有發現待更正部份及您所需本站未收編之法規,敬請告知,謝謝!